飞文染翰分享 http://blog.sciencenet.cn/u/wyf

博文

亦静亦动,深度评估:先进行业IT风险评估之道

已有 3230 次阅读 2008-11-28 16:21 |个人分类:行业分析|系统分类:观点评述

——本人20083月发表于《金融时报》


作为国内信息安全领域的工作重点与技术热点,IT风险评估近年在国民生产各个行业、各个部门积极试点并稳步推开,取得了卓有成效的成果。但针对一些对信息安全要求较高、基础较好的先进行业,在IT风险评估的设计与实践中应该更具超前性,并在评估方法上个性化设计,以适应行业特色与行业发展的需要。



科学定位

作为国内信息安全建设的领先者,先进行业在扎实的技术基础和健全的管理体系之上看待IT风险评估的作用,将和其他基础较薄弱的行业大不相同。

根据三元动态安全论所述,技术、管理和审计在信息安全建设中同等重要,在数学逻辑上,技术可视为加法,管理可视为乘法,审计可视为乘百分数。它们的动力学模型如图1所示,按照该模型绘制信息安全运作状态曲线如图2所示。



——如何看待风险评估作用

1
在图1的模型中,IT风险评估主要对应安全审计模块,发挥检测安全现状的作用,帮助用户寻找现状与目标的偏差(图2所示的存在风险)。在闭环曲线上,它并不发挥直接的执行作用,只被用来检测偏差。

不妨做这样一个比喻——安全建设是在往泳池里蓄水;安全目标是管理方指定的水位线;安全管理是蓄水的管理过程,放快放慢的指令由此下达;安全技术是放水装置,技术高则意味放水管质量好;安全审计是管理员对水位的目测或工具测量行为。图2中的纵轴可以被视为水位,横轴视为时间,曲线则为水位变化曲线,蓄水初期高速放水,临近目标则要放慢速度,以防蓄水过量。




2
对于信息安全基础薄弱的行业,安全建设工作刚刚起步,风险评估能够帮它们知己知彼,是建设起步的关键,甚至是一切工作的基础,在模型中对应的范畴也超出安全审计本身。但对于安全管理、安全技术等模块已经成型的先进行业,业内机构基本跨入了图2中的运维期,风险评估依然极为重要但扮演的角色相对单纯——仅对应安全审计一个模块,只发挥检测偏差作用。

精细化分工为每个模块的深度开发与利用提供了契机,正确定位了IT风险评估的地位后,先进行业的用户需要结合自身特色,深度挖掘,提升评估效果及其对整体安全管理的作用。



动静结合

根据动力学理论,闭环体系中检测模块设计成败的关键在于检测的频度和精度。好比目测泳池水位,不能每秒钟都瞅,也不能水管大开一小时都不关心;管理员如果近视,就要给他配上合适的眼镜,保证精度。IT风险评估也是同样的道理。

IT风险评估的“检测频度”就是执行评估的频率。我国目前风险评估实际操作中,用户一般一年进行一次风险评估。一年一次面向所有行业比较现实的标准,但对于先进行业是不合适的,主要原因包括:

1)先进行业面临外来威胁大,种类多,手段多变,安全技术进步快,常规的静态风险评估不能适应外界的变化。随着操作系统补丁日益频繁的发布,随着“零日攻击”的出现,先进业如果仅进行年检式风险评估,明显不能适应形势。

2)先进行业安全建设基础好,风险评估工作效率高,后续改进工作也相对顺利。在成熟的信息平台上,很多工作可以由工具完成,执行评估相对轻松,所以提高评估频率的设想具备人力与时间可行性。

3)先进行业信息安全的投资回报率较高,保护好10块钱的信息资产,可以保障100元关联业务的正常运转。在此基础上,提高风险评估的频率有经济收益保障。

所以,先进行业的风险评估应该走在国民经济各行业的前列,率先做到动静结合、评估常态化,克服年检式风险评估存在的结构性疏漏。在动静结合的新模式下,静态评估部分可以保持现有的年检式评估方式不变,动态评估部分要全新设计,设计过程中需考虑以下方面:

1)动态评估的手段:应充分使用自动化工具代替人工劳动,力争做到实时风险监控计算。可依托的工具包括评估威胁的IDS、异常流量分析系统、日志分析系统等,评估脆弱性的网络扫描器、应用扫描工具等。

2)动态评估的频率:工具自动完成的部分,频率应细分到日,必须由人工完成的部分,则可根据用户安全保障级别的需要酌情放宽。

3)动态评估的关注重点:动态评估执行频率高,故应抓住最重要风险来分析(如交易安全、业务持续性、客户资料保密等),控制成本。

4)动态评估的综合管理:动态评估采集的大量数据,应由统一的信息平台进行整理、计算与呈现,SOC(安全运营中心)是最合适的软件产品。



深度评估

“动静结合”针对先进行业特点解决了频度问题,深度评估是处理精度问题的方法。泳池管理员想对水位差测得更精确,要配备精良的工具;让IT风险评估精度更高,除了要有精良的测试技术,还要注意评估的全面性。

各行各业对深度评估都有需求,因为这是提高评估质量的关键。但先进行业处在安全运维期,在这方面需求更强烈,而且有财力支持和技术基础,可以做更多更深的实践。

在工具改进方面,需从三方面努力:(1)部署实用高效的测试工具:并非越贵越好,与机构现状契合是关键;(2)适当冗余,多重检测:冗余是信息安全保障的重要原则,评估中的冗余方法包括多台、多品牌等方法;(3)有效维护,培训使用者:好工具需要好的管理员驾驭,应加强人员培训,并注意工具自身的调试维护。

在全面性方面,目前常规风险评估侧重系统安全、物理安全检查,而深度评估中,需加强应用安全(应用渗透测试、代码检查、应用架构综合评估)、网络安全(边界策略审计、传输加密评估)检查。同时,对管理风险的评估也应投入更大的力度,在评估中不能“重技术,轻管理”。



积极修补

在三元动态安全论模型里,IT风险评估主要涉及反馈环节,为了整体改进安全工作,先进行业依托自身安全基础好的背景,应着力加强风险评估的后续漏洞修补(对应三元动态安全模型中的安全管理和安全技术模块)。这样的意义在于:(1)查知漏洞的修补有助于展现出风险评估的效果,让风险评估得到更多人的重视与配合;(2)如果修补环节执行得力,会让下一次评估减少成本,这样尤其适于动态风险评估工作;(3)漏洞修补与风险评估相配合,有助于实现完整的风险管理,即三元动态安全论的整个闭环。可以说,不进行后续漏洞修补,风险评估的作用会打打折扣,甚至失去意义。

在风险评估的后续漏洞修补中,安全管理者应把握以下几个原则:(1)从速解决紧急且易于解决的漏洞,如基础平台的不当配置;(2)充分重视紧急且不易解决的漏洞,努力设计其他代替方案,并制定长期根治的计划,如开发中的一些代码级漏洞;(3)不忽视不紧急的漏洞,任何小漏洞都可能发生质变,不紧急且易于解决的漏洞尤其要抓紧处理不能延误时机。

——如何整体改进安全工作
——如何实质提升评估效果
——如何符合先进行业特色


因地制宜是信息管理的重要原则,上述对于先进行业IT风险评估的定位研究、个性化设计以及对漏洞修补环节的关注,将有助于改进业内机构IT风险评估的质量,提升行业的信息安全水平。




http://blog.sciencenet.cn/blog-67972-48787.html

上一篇:中国业务持续管理高峰论坛参会记
下一篇:SOC迷途:在困境中徘徊的SOC

0

发表评论 评论 (0 个评论)

数据加载中...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2020-9-20 19:01

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部